Echo Protocol потерял $816 тыс. из-за админ-ключа, а не взлома кода

История с Echo Protocol сначала выглядела как очередной крупный DeFi-взлом на $76,7 млн. Но реальная картина оказалась другой. Атакующий не сломал смарт-контракт и не нашел сложную уязвимость в коде. Он получил доступ к админ-ключу, выпустил 1000 фейковых eBTC и смог вывести из системы около $816 тыс. реальных активов.

Именно разница между «бумажными» $76,7 млн и фактическими $816 тыс. стала главным выводом этой атаки. Проблема была не в блокчейне Monad и не в базовом коде Echo, а в управлении доступом, слабых внутренних процедурах и доверии lending-протокола Curvance к только что выпущенному залогу.

Атака началась с украденного админ-доступа

Echo Protocol работает в сегменте BTCFi и выпускает обернутые версии биткоина для DeFi. На Aptos проект использует aBTC, а в сети Monad выпускал eBTC. Эти активы не были связаны между собой напрямую, поэтому инцидент затронул именно eBTC на Monad.

Атакующий получил доступ к админ-правам токена eBTC. После этого он выдал себе роль минтера и выпустил 1000 eBTC на собственный кошелек. По рыночной оценке это выглядело как $76,7 млн, но реального биткоина под этими токенами не было. Это были пустые токены без обеспечения.

Почему $76,7 млн не превратились в реальные потери

Фейковые eBTC сами по себе ничего не стоили, пока их нельзя было обменять на реальные активы. Проблема для атакующего заключалась в низкой ликвидности Monad. Продать 1000 eBTC на DEX было невозможно: рынок просто не выдержал бы такой объем, а цена рухнула бы почти сразу.

Поэтому злоумышленник выбрал другой путь. Он внес 45 eBTC в Curvance как залог и занял против них 11,29 WBTC, то есть около $868 тыс. реальной стоимости. Затем активы были переведены на Ethereum, обменяны примерно на 384 ETH и отправлены через Tornado Cash. Итоговая сумма реального вывода составила около $816 тыс.

Curvance принял фейковый залог как настоящий

Вторая слабая точка атаки появилась уже на стороне Curvance. Протокол принял eBTC как обычный залог, не проверив, были ли эти токены действительно обеспечены биткоином. Для контракта это были просто eBTC на кошельке пользователя.

Именно это позволило атакующему превратить фейковые токены в реальный WBTC. Curvance не был взломан напрямую, но его система оценки залога оказалась слишком доверчивой к активу, который только что был выпущен через скомпрометированный админ-доступ.

Echo успел сжечь большую часть фейковых токенов

После обнаружения атаки Echo вернул контроль над админ-доступом и сжег оставшиеся 955 eBTC на кошельке атакующего. Также команда приостановила связанные функции на Monad и временно ограничила мосты и lending-инструменты на Aptos, хотя сама Aptos-часть не была затронута.

Curvance приостановил рынок eBTC и сообщил, что изолированная структура пулов не дала проблеме распространиться на другие активы. Monad также не был скомпрометирован. Сеть работала штатно, а инцидент остался на уровне приложений поверх нее.

Главная ошибка Echo — один ключ вместо нормальной защиты

Самая важная часть инцидента — устройство админ-доступа. Ключевая роль была закреплена за одним обычным кошельком, а не за мультиподписью. Это значит, что одного украденного приватного ключа оказалось достаточно, чтобы получить контроль над выпуском eBTC.

Кроме того, в системе не было таймлока, лимита на выпуск токенов и ограничения скорости минтинга. Атакующий смог выдать себе права и выпустить 1000 eBTC сразу, без задержки и без окна для реакции команды. Для DeFi-проекта с крупной стоимостью активов это базовые меры безопасности, а не сложная архитектура.

DeFi все чаще взламывают не через код

Echo стал еще одним примером более широкого тренда 2026 года. Крупнейшие потери в DeFi все чаще происходят не из-за ошибок Solidity, а из-за компрометации ключей, инфраструктуры, админ-доступов, мостов и внутренних процессов.

В апреле Drift потерял $285 млн после социальной инженерии, а KelpDAO лишился $292 млн из-за инфраструктурной атаки. Verus Bridge столкнулся с проблемой межсетевой проверки, THORChain сообщил о взломе на сумму более $10 млн. Echo оказался в той же логике: код мог работать как задумано, но окружающая система безопасности не выдержала.

Атакующие поднялись выше уровня смарт-контрактов

За последние годы DeFi научился лучше проверять код. Аудиты, баунти-программы и формальная верификация стали нормой для крупных проектов. Но атакующие просто сместили фокус.

Теперь они чаще бьют по тому, что не всегда проходит полноценный аудит: приватные ключи, админ-роли, серверы, RPC-инфраструктура, сотрудников, инструменты разработчиков и процедуры управления. Это хуже для рынка, потому что такие атаки сложнее заметить заранее и сложнее остановить в моменте.

Echo повезло из-за низкой ликвидности Monad

Фактически Echo спасла не хорошая защита, а ограниченная ликвидность. Если бы такой же объем фейковых токенов оказался в более глубокой сети с развитым рынком, ущерб мог быть намного ближе к заявленным $76,7 млн.

На Ethereum или другой крупной экосистеме атакующий мог бы найти больше способов превратить фейковый залог в реальные активы. В случае Monad он смог вывести только то, что позволяла ликвидность Curvance.

Что дальше?

Инцидент с Echo показывает, что главная угроза для DeFi в 2026 году находится уже не только в смарт-контрактах. Протоколы могут иметь рабочий код, но оставаться уязвимыми из-за одного слабого админ-ключа, отсутствия таймлоков и плохой проверки залога.

Для wrapped-активов главный вопрос простой: кто может выпускать токены и насколько сложно захватить этот доступ. Если выпуск контролируется одним кошельком, весь протокол фактически держится на одном приватном ключе.

Echo отделался сравнительно небольшими реальными потерями. Но урок для рынка жесткий: мультиподпись, таймлоки, лимиты выпуска и проверка обеспечения должны быть обязательными, а не дополнительными опциями после очередного взлома.

Читать далее: PCE, рынок труда и жилье. Неделя решит судьбу ставок ФРС и биткоина